Dela via

Delar av åtkomstkontrollmodellen

  • Artikel

Det finns två grundläggande delar av åtkomstkontrollmodellen:

När en användare loggar in autentiserar systemet användarens kontonamn och lösenord. Om inloggningen lyckas skapar systemet en åtkomsttoken. Varje process körs för den här användarens räkning har en kopia av den här åtkomsttoken. Åtkomsttoken innehåller säkerhetsidentifierare som identifierar användarens konto och eventuella gruppkonton som användaren tillhör. Token innehåller också en lista över behörigheter som innehas av användaren eller användarens grupper. Systemet använder den här token för att identifiera den associerade användaren när en process försöker komma åt ett skyddsbart objekt eller utföra en systemadministrationsuppgift som kräver behörigheter.

När ett skyddsbart objekt skapas tilldelar systemet det en säkerhetsbeskrivning som innehåller säkerhetsinformation som angetts av dess skapare eller standardsäkerhetsinformation om ingen anges. Program kan använda funktioner för att hämta och ange säkerhetsinformation för ett befintligt objekt.

En säkerhetsbeskrivning identifierar objektets ägare och kan även innehålla följande åtkomstkontrollistorer:

En ACL innehåller en lista över åtkomstkontrollposter (ACL). Varje ACE anger en uppsättning åtkomsträttigheter och innehåller ett SID som identifierar en förvaltare för vilka rättigheterna tillåts, nekas eller granskas. En förvaltare kan vara ett användarkonto, ett gruppkonto eller inloggningssession.

Använd funktioner för att ändra innehållet i säkerhetsbeskrivningar, SID:er och ACL:er i stället för att komma åt dem direkt. Detta säkerställer att dessa strukturer förblir syntaktiskt korrekta och förhindrar att framtida förbättringar av säkerhetssystemet bryter mot befintlig kod.

Följande avsnitt innehåller information om delar av åtkomstkontrollmodellen: